Spis treści
A
Autentyczność (ang. authenticity)
Określa pewność, co do pochodzenia (autorstwa i treści) określonych danych.
Autoryzacja (ang. authorization)
Jest to proces weryfikowania praw (dostępu do zasobów) przydzielanych danemu użytkownikowi, poprzedzony jego wcześniejszym uwierzytelnieniem.
B
Bezpieczna ścieżka
Łącze zapewniające wymianę między oprogramowaniem podpisującym a komponentem technicznym informacji związanych z uwierzytelnieniem użytkownika komponentu technicznego, zabezpieczone w sposób uniemożliwiający naruszenie integralności przesyłanych danych przez jakiekolwiek oprogramowanie (wg Ustawy o podpisie elektronicznym).
Bezpieczne środowisko do składania podpisu elektronicznego
Sprzęt i oprogramowanie skonfigurowane w taki sposób, aby możliwe było wypełnienie wymagań nakładanych na bezpieczne urządzenie służące do składania podpisu elektronicznego, pracujące w środowisku publicznym.
Bezpieczne urządzenie służące do składania podpisu elektronicznego
Urządzenie służące do składania podpisu elektronicznego spełniające wymagania określone w Ustawie o podpisie elektronicznym. Składa się z oprogramowania podpisującego oraz współpracującego z nim komponentu technicznego (np. karta kryptograficzna). Bezpieczne urządzenie powinno posiadać certyfikat bezpieczeństwa odpowiedniego poziomu, znajdować się na liście bezpiecznych urządzeń oraz posiadać odpowiednie deklaracje zgodności.
Bezpieczne urządzenie służące do weryfikacji podpisu elektronicznego
Jest to urządzenie służące do weryfikacji podpisu elektronicznego spełniające wymagania określone w Ustawie o podpisie elektronicznym. Oprogramowanie weryfikujące powinno zapewniać, że podczas weryfikacji bezpiecznego podpisu elektronicznego prezentowane przez nie dane będą odpowiadały danym podpisywanym, bez względu na ich format.
Bezpieczny kanał
Łącze zapewniające wymianę, między oprogramowaniem podpisującym a komponentem technicznym, informacji związanych z przekazywaniem danych, które mają być podpisane lub poświadczone elektronicznie – zabezpieczone w sposób uniemożliwiający naruszenie integralności przesyłanych danych przez jakiekolwiek oprogramowanie (wg Ustawy o podpisie elektronicznym).
Bezpieczny podpis elektroniczny
W myśl Ustawy o podpisie elektronicznym jest to podpis elektroniczny, który jest:
- przyporządkowany wyłącznie do osoby składającej ten podpis,
- sporządzany za pomocą bezpiecznych urządzeń i danych służących do składania podpisu elektronicznego podlegających wyłącznej kontroli osoby składającej podpis,
- powiązany z danymi, do których został dołączony, w taki sposób, że jakakolwiek późniejsza zmiana tych danych jest rozpoznawalna.
Bezpieczny podpis elektroniczny, który jest weryfikowany za pomocą certyfikatu kwalifikowanego, jest równoważny podpisowi własnoręcznemu, dzięki czemu może być wykorzystywany do nadawania mocy prawnej dokumentom i danym w formie elektronicznej.
Bezpieczny profil karty
Patrz: “Profil karty bezpieczny”
C
CA (ang. Certification Authority)
Patrz: “Centrum Certyfikacji”.
Centrum Certyfikacji
Jest to podmiot świadczący usługi certyfikacyjne, takie jak: wydawanie certyfikatów, znakowanie czasem lub inne usługi związane z podpisem elektronicznym. Każde Centrum Certyfikacji określa swoją politykę certyfikacji (między innymi np. politykę wydania certyfikatu, procedurę weryfikacji tożsamości subskrybentów) a jakość wykonywanych czynności oraz ciągłość świadczenia usług jest gwarantowana finansowo).
Certyfikacja wzajemna (ang. cross-certification)
Procedura wydawania certyfikatu przez urząd certyfikacji innemu urzędowi certyfikacji, który nie pozostaje z urzędem wydającym certyfikat w relacji bezpośredniego podporządkowania lub jest mu bezpośrednio podporządkowany. Istnieje również możliwość zajścia sytuacji, gdy dwa urzędy certyfikacji wydają sobie nawzajem certyfikaty wzajemne. Zwykle certyfikat wzajemny wydawany jest w celu uproszczenia budowy i weryfikacji ścieżek certyfikatów, złożonych z certyfikatów wydawanych przez różne urzędy certyfikacji (certyfikaty wydawane przez jeden z urzędów traktowane są na równi z wydanymi przez drugi z urzędów).
Certyfikat atrybutów (AC)
Elektroniczne zaświadczenie, za pomocą którego wartości atrybutów są przyporządkowane do wskazanej w zaświadczeniu osoby i powiązane z danymi identyfikacyjnymi tej osoby.
Certyfikat (certyfikat klucza publicznego)
Jest to elektroniczne zaświadczenie, wystawione przez podmiot świadczący usługi certyfikacyjne (centrum certyfikacji), które zawiera dane służące do weryfikacji podpisu elektronicznego. Certyfikat może być przypisany zarówno do osoby fizycznej jak i domeny, adresu IP lub urządzenia sieciowego itd. Certyfikat zawiera m.in.: identyfikator wystawcy certyfikatu, identyfikator użytkownika, jego klucz publiczny, okres ważności i numer seryjny certyfikatu; jest podpisany przez wystawcę.
Certyfikat kwalifikowany
Certyfikat spełniający wymagania Ustawy o podpisie elektronicznym, wydany przez kwalifikowany podmiot świadczący usługi certyfikacyjne. Podpis elektroniczny weryfikowany za pomocą certyfikatu kwalifikowanego oraz złożony za pomocą bezpiecznego urządzenia do składania podpisu elektronicznego, jest równoważny podpisowi własnoręcznemu. Wymagania ustawy i przepisów wykonawczych dotyczą m.in. poziomu zabezpieczeń sprzętu, niepowtarzalności pewnych danych i metod obsługi klientów.
Certyfikat kwalifikowany może być wydany jedynie osobie fizycznej.
Certyfikat niekwalifikowany
Podstawową różnicą pomiędzy certyfikatem kwalifikowanym a niekwalifikowanym jest gwarancja prawna, która w polskim prawie certyfikat kwalifikowany traktuje tak samo, jak podpis odręczny. Natomiast certyfikat niekwalifikowany zazwyczaj jest wykorzystywany w celu szyfrowania informacji, podpisywania plików, uwierzytelnianiu serwera czy logowaniu do systemu.
Drugą różnicą jest samo użytkowanie certyfikatu. Certyfikat kwalifikowany może być tylko i wyłącznie do weryfikacji podpisu elektronicznego, natomiast certyfikat niekwalifikowany nie posiada ograniczeń związanych z jego użytecznością.
Kolejną różnicą jest sam nośnik przechowywania certyfikatu. W kwalifikowanym zazwyczaj jest to karta lub pendrive, a certyfikat niekwalifikowany może być przechowywany na komputerze.
Ostatnią różnicą jest miejsce tworzenia i wydawania podpisu elektronicznego. Certyfikat kwalifikowany jest wydawany jedynie przez autoryzowane Centra Certyfikacji. Co do certyfikatu niekwalifikowanego mogą go wdawać również jednostki niecertyfikowane.
Certyfikat ID (niekwalifikowany)
Certyfikaty niekwalifikowane, często nazywane również zwykłymi lub komercyjnymi, służą do opatrywania dokumentów podpisem niekwalifikowanym (często nazywanym “zwykłym”) oraz m.in. do szyfrowania poczty elektronicznej i plików, autoryzacji w systemach IT itp.
Certyfikat niekwalifikowany zaufany
Jest to certyfikat niekwalifikowany wydawany zgodnie ze standardem WebTrustSM/TM. Zgodność ze standardem WebTrustSM/TM oznacza, że certyfikaty niekwalifikowane są uznawane za zaufane globalnie we wszystkich rozpowszechnionych przeglądarkach internetowych na świecie oraz we wszystkich produktach Microsoft Corp.
Certyfikat unieważniony
Patrz: “Unieważnienie certyfikatu”.
CRL
Patrz: “Lista certyfikatów unieważnionych”
Czytnik kart kryptograficznych
Urządzenie umożliwiające nawiązanie połączenia z kartą kryptograficzną, podłączane najczęściej pod jeden z portów USB, RS232 lub PCMCIA. Na świecie dostępnych jest wiele różnych standardów obsługi czytników kart, jednak najbardziej popularny jest standard PC/SC.
D
Dane służące do składania podpisu elektronicznego
Niepowtarzalne dane, przyporządkowane konkretnej osobie, wykorzystywane do składania podpisu elektronicznego (klucz prywatny certyfikatu). Muszą być trzymane w tajemnicy. W razie ich ujawnienia należy unieważnić certyfikat.
Dane służące do weryfikacji podpisu elektronicznego
W myśl Ustawy o podpisie elektronicznym, są to niepowtarzalne i przyporządkowane osobie fizycznej dane, które są wykorzystywane do identyfikacji osoby składającej podpis elektroniczny.
Dane uwierzytelniające
Dane używane w celu ustalenia deklarowanej tożsamości podmiotu (identyfikacji podmiotu).
Dane walidacyjne
Dodatkowe dane gromadzone przez osobę składająca i/lub weryfikującą podpis niezbędne w procesie weryfikacji podpisu elektronicznego; dane te mogą dotyczyć: certyfikatów, informacji o statusie unieważnienia, znaczników czasu oraz innych poświadczeń.
Depozyt
Powierzenie przechowawcy (depozytariuszowi), np. na podstawie umowy, na przechowanie obiektów danych aż do ich odebrania przez składającego, przy zagwarantowaniu, że odebrane obiekty danych są w stanie ważności nie gorszym niż w momencie ich powierzenia. Przechowawca zobowiązany jest wydać ten sam obiekt danych, który otrzymał na przechowanie, a także na żądanie wszelkie inne dane związane z nim i zapewniające mu ważność w czasie przechowywania w depozycie. Powierzone dane udostępniane są tylko deponentowi (podmiotowi, który powierzył dane do przechowania).
Dowód posiadania klucza prywatnego (POP, ang. proof of possession)
Potwierdzenie na to, że posiada się klucz prywatny, niewymagające jego ujawnienia. Dostarczając taki dowód, użytkownik umożliwia powiązanie jego osoby z kluczem publicznym. W celu udowodnienia posiadania klucza prywatnego trzeba podpisać dowolną podaną treść. Jeśli podpis można poprawnie zweryfikować kluczem publicznym, to przyjmuje się, że użytkownik posiada klucz prywatny z tej samej pary. Przy kluczach do deszyfrowania, dowodem jest odszyfrowanie dowolnej wiadomości.
E
Elektroniczna karta identyfikacyjna (ang. smart card)
Uniwersalny nośnik (zwykle o o rozmiarze karty kredytowej) z wbudowanym jednym lub kilkoma układami scalonymi umożliwiającymi przetwarzanie informacji. Są to przede wszystkim mikroprocesor, pamięć nieulotna oraz w przypadku kart używanych w PKI – także kryptoprocesor. Ten ostatni komponent pozwala na generowanie kluczy kryptograficznych (w tym kluczy wykorzystywanych w procesie składania i weryfikowania podpisów elektronicznych) oraz wykonywanie operacji kryptograficznych (np. obliczanie wartości skrótu, tworzenie podpisu cyfrowego, szyfrowanie danych).
Nieulotna pamięć karty zawiera system operacyjny, zwany maską karty, który umożliwia podział pamięci karty na różne obszary i zarządzanie nimi w sposób zapewniający kontrolę dostępu i ochronę zawartych w nich danych. Za tworzenie obszarów pamięci i zarządzanie nimi odpowiada system plikowy karty. W zależności od potrzeb, obszary pamięci mogą być grupowane, tworząc tzw. profile karty. Karta może zawierać jeden lub więcej profili, np. profil RSA lub profil bezpieczny.
Elektroniczna skrzynka podawcza (ESP)
Dostępny publicznie środek komunikacji elektronicznej służący do przekazywania informacji w formie elektronicznej do podmiotu publicznego przy wykorzystaniu powszechnie dostępnej sieci teleinformatycznej (wg Rozporządzenie Prezesa Rady Ministrów z dnia 29 września 2005 r. w sprawie warunków organizacyjno – technicznych doręczania dokumentów elektronicznych podmiotom publicznym, Dz.U.05.200.1651)
Elektroniczny Urząd Podawczy (EUP)
Podmiot kwalifikowany świadczący usługi certyfikacyjne związane z podpisem elektronicznym w formie outsourcingu, bazujące na kwalifikowanej usłudze wystawiania “poświadczenia odbioru i przedłożenia”, wpisanej do rejestru kwalifikowanych usług certyfikacyjnych prowadzonego ministra właściwego ds. podpisu elektronicznego (w Polsce – Minister Gospodarki). EUP dostarcza otrzymane dokumenty elektroniczne do elektronicznej skrzynki podawczej (ESP) właściwego adresata.
e-Notariat , e-Notarius, e-Notary
Patrz: “Urząd walidacji danych”
ePUAP
ePUAP to skrót nazwy Elektroniczna Platforma Usług Administracji Publicznej. To miejsce, gdzie usługi są udostępniane. Dzięki ePUAP załatwisz wiele spraw w różnych urzędach bez wychodzenia z domu – przez internet, w wybranym przez siebie czasie i w dowolnym miejscu. Nie ograniczają cię godziny pracy urzędów – sam decydujesz, kiedy złożysz wniosek. Wniosku nie musisz podpisywać ręcznie – do podpisu elektronicznych dokumentów służy bezpłatny profil zaufany.
F
Funkcja skrótu
Spełnia rolę podobną do “odcisku palca” ( i tak jest czasami nazywana). Umożliwia ona powiązanie wiadomości o dowolnej długości z charakterystyczną do tej wiadomości liczbą z ustalonego zakresu, o określonej długości reprezentacji liczby w przyjętym systemie zapisu – dziesiętnym, binarnym lub innym. “Dobra” funkcja skrótu wykorzystywana jest w kryptografii jest funkcją jednokierunkową, tzn. obliczenie wartości tej funkcji dla dowolnej wiadomości powinno być łatwe, lecz odtworzenie na podstawie wartości funkcji skrótu domniemanej wiadomości pierwotnej jest problemem trudnym obliczeniowo. Ponadto dla ‘dobrej” funkcji skrótu problemem trudnym obliczeniowo jest wyznaczanie dwóch wiadomości o tej samej wartości skrótu.
G
Główny urząd certyfikacji (ang. root)
Ten podmiot świadczący usługi certyfikacyjne, który sam sobie poświadczył zaświadczenie certyfikacyjne i może wydawać zaświadczenia certyfikacyjne innym podmiotom świadczącym usługi certyfikacyjne. Często jest to także punkt zaufania, względem którego budowane są ścieżki certyfikacji.
H
HSM (ang. Hardware Security Module)
Sprzętowy moduł kryptograficzny; patrz: “Moduł kryptograficzny”.
I
Identyfikacja podmiotu
Związanie tożsamości z podmiotem.
Identyfikator obiektu (OID, ang. Object Identifier)
Jest to identyfikator alfanumeryczny/numeryczny zarejestrowany zgodnie z normą ISO/IEC 9834 i wskazujący w sposób unikalny na określony obiekt lub klasę obiektów. W Polsce za rejestrację identyfikatorów obiektów odpowiada Krajowy Rejestr Identyfikatorów Obiektów (KRIO), http://www.krio.pl.
Identyfikowanie
Proces rozpoznania określonego podmiotu, możliwy do zrealizowania dzięki zastosowaniu unikalnych nazw (tożsamości).
Infrastruktura Klucza Publicznego (PKI, ang. Public Key Infrastructure)
Jest to zbiór procedur, zasad oraz technik, które wspólnie wspomagają implementację i działanie kryptograficznych systemów klucza publicznego, opartych na certyfikatach. Infrastruktura Klucza Publicznego składa się z powiązanych ze sobą elementów infrastruktury sprzętowej, programowej, baz danych, sieci, procedur bezpieczeństwa oraz zobowiązań prawnych, które dzięki współpracy realizują oraz udostępniają usługi certyfikacyjne, jak również inne związane z tymi elementami usługi.
K
Karty kryptograficzne
Elektroniczne karty identyfikacyjne z wbudowanym kryptoprocesorem.
Klucz prywatny
Jeden z dwóch kluczy należących do pary kluczy asymetrycznych, znany tylko jego właścicielowi. W systemie podpisu asymetrycznego klucz prywatny służy do podpisywania. W systemie szyfrowania asymetrycznego klucz prywatny służy do deszyfrowania.
Klucz prywatny musi być wyjątkowo starannie chroniony, aby uniknąć jego ujawnienia. Ujawnienie klucza może umożliwić jego użycie (wykonanie podpisu lub odszyfrowanie danych) przez niepowołane osoby. Z tego względu klucze prywatne dla certyfikatów o wyższej wiarygodności są zapisane na karcie mikroprocesorowej skąd nie można ich skopiować.
Klucz prywatny stosowany do składania podpisu elektronicznego jest przykładem zdefiniowanych w Ustawie o podpisie elektronicznym danych służących do składania podpisu elektronicznego.
Klucz publiczny
Jeden z dwóch kluczy należących do pary kluczy asymetrycznych, powszechnie dostępny, którego powiązanie z konkretną osobą (lub firmą) potwierdza certyfikat. W systemie podpisu asymetrycznego klucz publiczny służy do weryfikacji podpisu. W systemie szyfrowania asymetrycznego klucz publiczny służy do szyfrowania.
Klucz publiczny stosowany do weryfikowania podpisu elektronicznego jest przykładem zdefiniowanych w Ustawie o podpisie elektronicznym danych służących do weryfikacji podpisu elektronicznego.
Kodeks postępowania certyfikacyjnego
Dokument opisujący szczegółowo proces certyfikacji klucza publicznego, uczestników tego procesu oraz określający obszary zastosowań uzyskanych certyfikatów. Każdy urząd certyfikacji tworzy własny kodeks.
Komponent techniczny
Sprzęt stosowany w celu wygenerowania lub użycia danych służących do składania bezpiecznego podpisu elektronicznego lub poświadczenia elektronicznego. Przykładami komponentów technicznych są elektroniczne karty identyfikacyjne z kryptoprocesorem (w skrócie karty kryptograficzne) i moduły kryptograficzne.
Kontrola dostępu
Zapewnianie dostępu do zasobów systemów informacyjnych tylko autoryzowanym użytkownikom, programom, procesom oraz innym systemom.
Kopia
Każdy wpis pobrany z depozytu lub rejestru, a także każdy obiekt danych pobrany z repozytorium.
Kwalifikowane usługi certyfikacyjne w Polsce
Patrz: “Usługi certyfikacyjne kwalifikowane w Polsce”
Kwalifikowane usługi certyfikacyjne (związane z podpisem elektronicznym)
Patrz: “Usługi certyfikacyjne kwalifikowane”
Kwalifikowany certyfikat
Patrz: “Certyfikat kwalifikowany”.
Kwalifikowany podmiot świadczący usługi certyfikacyjne
Podmiot świadczący usługi certyfikacyjne, wpisany zgodnie z Ustawą o podpisie elektronicznym, do rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne.
L
Lista certyfikatów unieważnionych (CRL, ang. Certificate Revocation List)
Lista podpisana cyfrowo przez urząd certyfikacji zawierająca numery seryjne zawieszonych lub unieważnionych certyfikatów oraz daty i przyczyny ich zawieszenia lub unieważnienia, nazwę wydawcy CRL, datę publikacji listy, datę następnej planowanej publikacji listy. Powyższe dane są poświadczane elektronicznie przez urząd certyfikacji.
M
Moduł kryptograficzny
Definicja 1: Zestaw składający się ze sprzętu, oprogramowania, mikrokodu lub ich określona kombinacja, realizujące operacje lub procesy kryptograficzne, obejmujące szyfrowanie i deszyfrowanie wykonywane w obszarze kryptograficznym tego modułu.
Definicja 2: Wiarygodna implementacja kryptosystemu, który w bezpieczny sposób wykonuje operacje szyfrowania i deszyfrowania.
Operacje, o których mowa w Definicjach 1 i 2 wykonywane są w oparciu o parametry bezpieczeństwa, które są automatycznie usuwane, jeśli urządzenie zostanie otwarte.
N
Narodowe Centrum Certyfikacji (NCCert)
Główny urząd certyfikacji w Polsce, działający w ramach Narodowego Banku Polskiego i wykonujący funkcje związane są z obsługą infrastruktury bezpiecznego podpisu elektronicznego w Polsce. Funkcje te zostały powierzone Narodowemu Bankowi Polskiemu przez Ministra Gospodarki i Pracy na mocy Ustawy z dnia 18 września 2001 r. o podpisie elektronicznym.
Narodowy Urząd Walidacji (ang. National Validation Authority)
Podmiot świadczący usługi certyfikacyjne, który jest centralnym punktem walidacji danych (w tym przede wszystkim weryfikacji podpisów elektronicznych) świadczącym usługi na potrzeby elektronicznego obiegu dokumentów w biznesie i administracji publicznej oraz wymiany informacji z lub między obywatelami. Narodowy Urząd Walidacji powinien być w stanie weryfikować dowolny podpis elektroniczny (zaraz po jego utworzeniu) za pomocą właściwego certyfikatu klucza publicznego, wydanego przez podmiot świadczący usługi certyfikacyjne objętego działaniem Narodowego Urzędu Walidacji.
Nazwa wyróżniona (DN, ang. distinguished name)
Zbiór atrybutów tworzących nazwę wyróżnioną osoby prawnej, odróżniającą go od innych podmiotów tego samego typu.
Niekwalifikowany certyfikat
Patrz: “Certyfikat ID (niekwalifikowany) “.
Numer seryjny certyfikatu
Liczba całkowita lub ciąg znaków, niepowtarzalnych w ramach organu wydającego certyfikaty, które w sposób jednoznaczny umożliwiają identyfikację certyfikatu (np. na liście unieważnień). Kolejne certyfikaty wydawane tej samej osobie mają różne numery.
O
OCSP (ang. Online Certificate Status Protocol)
Usługa umożliwiająca uzyskanie w trybie on-line informacji o statusie danego certyfikatu. W wyniku przeprowadzonej operacji wystawiane jest elektroniczne zaświadczenie, że weryfikowany certyfikat jest certyfikatem ważnym w momencie weryfikacji.
Odnowienie certyfikatu
Potwierdzenie ważności tego samego certyfikatu na następny okres. Certyfikat może zostać odnowiony przed upływem okresu ważności przez urząd certyfikacji, który go wydał.
Okres ważności certyfikatu
Okres pomiędzy początkową a końcową datą ważności certyfikatu lub pomiędzy datą początku ważności certyfikatu a datą jego unieważnienia lub zawieszenia.
Oryginał
Każdy wpis znajdujący się w depozycie lub rejestrze, a także każdy obiekt umieszczony w repozytorium; oryginalny wpis jest utworzony w chwili żądania umieszczenia wpisu obiektu w depozycie lub rejestrze, zaś oryginalny obiekt w momencie zarejestrowania w repozytorium.
Osoba składająca podpis elektroniczny
W myśl Ustawy o podpisie elektronicznym, jest to osoba fizyczna posiadającą urządzenie służące do składania podpisu elektronicznego, która działa w imieniu własnym albo w imieniu innej osoby fizycznej, prawnej albo jednostki organizacyjnej nieposiadającej osobowości prawnej.
P
Parametry bezpieczeństwa
Różnorodne, niejawne składniki nadzorujące procesy bezpieczeństwa systemów informatycznych, np. hasła, klucze szyfrowe, początkowe wartości szyfrów, “ziarna” generatorów liczb pseudolosowych, biometryczne parametry tożsamości (PN I-2000).
Pieczęć elektroniczna
Rozwiązanie to wykorzystuje kwalifikowany certyfikat pieczęci elektronicznej, który w odróżnieniu od podpisu elektronicznego, nie zawiera danych osoby fizycznej, a jedynie dane podmiotu posiadającego osobowość prawną (tj. firmy, organizacji, podmiotu administracji publicznej). Usługa jest zgoda z europejskim rozporządzeniem eIDAS, dzięki czemu dokumenty opieczętowane pieczęcią elektroniczną zachowują pełną moc prawną oraz dowodową.
Rozwiązanie to służy do pieczętowania:
- oficjalnej firmowej korespondencji elektronicznej
- faktur elektronicznych
- dokumentów (w różnych formatach m.in: PDF ,DOC ,DOCx, XLS, XLSx, TXT, ODT, ODS, WPS, CSV):
- oficjalne dokumenty (Zarządzenia, Statuty, Sprawozdania finansowe, Prospekty)
- dokumenty prawne (Akty prawne, dokumenty normatywne)
- oferty handlowe
- foldery reklamowe / ulotki produktowe w PDF
- powiadomienia / wyciągi bankowe / ubezpieczeniowe / polisy / potwierdzenia
Pieczęć WebTrust
Przyznawana godnym zaufania urzędom certyfikacyjnym, które pomyślnie przeszły audyt sześciu podstawowych obszarów:
- Security (bezpieczeństwo)
- Privacy (prywatność)
- Business Practices/Transaction Integrity ( praktyki biznesowe/integralność transakcji)
- Availabity (dostępność)
- Confidentiality (poufność)
- Non-Repudiation (niezaprzeczalność)
Pieczęć WebTrust wyrażana jest w postaci elementu graficznego widocznego na stronie WWW zaufanego centrum certyfikacji. Jej autentyczność potwierdza zlinkowany z nią raport pokontrolny umieszczony na webtrust.org.
PIN (ang. Personal Identification Number)
W przypadku PKI, są to dane służące do uwierzytelnienia podmiotu i autoryzacji jego dostępu do komponentu technicznego lub magazynu danych w celu ich ochrony przed możliwością użycia przez podmioty nieuprawnione. Po kilkukrotnym, następującym bezpośrednio po sobie, podaniu błędnego numeru PIN następuje blokada dostępu do komponentu technicznego lub magazynu danych.
Uwaga. Odblokowanie dostępu do komponentu technicznego, który znajduje się w stanie blokady, wymaga podania specjalnego numeru PUK. Z kolei odblokowanie dostępu do magazynu danych wymaga zwykle interwencji administratora magazynu i zmiany numeru PIN.
W komponencie technicznym może zostać wykorzystany mechanizm dodatkowego uwierzytelnienia za pomocą numeru PUK w celu wprowadzenia nowego numeru PIN i nowego limitu maksymalnej liczby nieudanych kolejnych uwierzytelnień, po których następuje blokada.
PKI (Public Key Infrastructure)
Patrz: “Infrastruktura Klucza Publicznego”.
Pobranie wpisu lub obiektu danych
Uzyskanie kopii wpisu lub kopii obiektu, lub z repozytorium obiektów danych bez ich usuwania odpowiednio z depozytu i rejestru oraz repozytorium.
Podmiot świadczący usługi certyfikacyjne
Według Ustawy o podpisie elektronicznym jest to przedsiębiorca w rozumieniu przepisów ustawy z dnia 19 listopada 1999 r. – Prawo działalności gospodarczej (Dz. U. Nr 101, poz. 1178, z 2000 r. Nr 86, poz. 958 i Nr 114, poz. 1193 oraz z 2001 r. Nr 49, poz. 509, Nr 67, poz. 679 i Nr 102, poz. 1115), Narodowy Bank Polski albo organ władzy publicznej, świadczący co najmniej jedną z usług certyfikacyjnych.
Podpis elektroniczny (ang. electronic signature)
W myśl Ustawy o podpisie elektronicznym, są to dane w postaci elektronicznej, które wraz z innymi danymi, do których zostały dołączone lub z którymi są logicznie powiązane, służą do identyfikacji osoby składającej podpis elektroniczny.
Podpis zaufany
Patrz – profil zaufany.
Polityka bezpieczeństwa
Zestaw zasad regulujących wykorzystanie informacji, jej przetwarzanie, przechowywanie, dystrybucję i prezentację. Zapewnia wiarygodność systemowi informatycznemu, w szczególności ochronę zawartych w nim danych. Opisuje także plan lub sposób działania przyjęty w celu utrzymania założonego poziomu bezpieczeństwa.
Polityka certyfikacji
Dokument określający ogólne zasady stosowane podczas procesu certyfikacji kluczy publicznych. Definiuje uczestników procesu, ich obowiązki i odpowiedzialność, typy certyfikatów i ich dopuszczalne zastosowania oraz procedury weryfikacji tożsamości. Każdy urząd certyfikacji wydaje i stosuje własną politykę certyfikacji. Polityka jest publikowana w repozytorium internetowym.
Każdej polityce certyfikacji przypisany jest jednoznaczny identyfikator obiektu.
Poświadczenie
Informacja, która samodzielnie lub użyta w powiązaniu z inną informacją wykorzystywana jest w celu ustanowienia dowodu wystąpienia lub niewystąpienia zdarzenia lub działania (PN ISO/IEC 13888-1).
Poświadczenie elektroniczne
Dane w postaci elektronicznej, które wraz z innymi danymi, do których zostały dołączone lub logicznie z nimi powiązane, umożliwiają identyfikację podmiotu świadczącego usługi certyfikacyjne lub organu wydającego zaświadczenia certyfikacyjne oraz spełniają dodatkowe wymagania określone w Art.3, ust.19 Ustawy o podpisie elektronicznym.
Poświadczenie odbioru
Dane elektroniczne dołączone do dokumentu elektronicznego doręczanego adresatowi (odbiorcy) lub połączone z tym dokumentem w taki sposób, że jakakolwiek późniejsza zmiana dokonana w tym dokumencie jest rozpoznawalna; poświadczenie to określa:
- pełną nazwę adresata, któremu doręczono dokument elektroniczny,
- datę i czas doręczenia dokumentu elektronicznego rozumiane jako data i czas wprowadzenia albo przeniesienia dokumentu elektronicznego do tego obszaru systemu teleinformatycznego, który jest dostępny dla adresata tego dokumentu; jest to data i czas otrzymania dokumentu elektronicznego według adresata,
- potwierdzenie (podpis) adresata odebrania dokumentu,
- datę i czas wytworzenia poświadczenia odbioru potwierdzone kwalifikowanym znacznikiem czasu synchronizowanym z sygnałem urzędowego i uniwersalnego czasu koordynowanego UTC(PL).
W przypadku, gdy poświadczenie jest wystawiane przez kwalifikowany urząd poświadczeń odbioru i przedłożenia, poświadczenie odbioru jest odsyłane do nadawcy dokumentu oraz do odbiorcy dokumentu.
Poświadczenie przedłożenia
Dane elektroniczne potwierdzające, że kwalifikowany urząd poświadczeń odbioru i przedłożenia otrzymał dokument elektroniczny do przesłania adresatowi i połączone z tym dokumentem w taki sposób, że jakakolwiek późniejsza zmiana dokonana w tym dokumencie jest rozpoznawalna; poświadczenie to określa:
- pełną nazwę nadawcy dokumentu elektronicznego,
- pełną nazwę adresata, do którego powinien zostać doręczony dokument elektroniczny,
- pełną nazwę urzędu wydającego poświadczenie,
- datę i czas przedłożenia dokumentu elektronicznego rozumiane jako data i czas wprowadzenia albo przeniesienia dokumentu elektronicznego do tego obszaru systemu teleinformatycznego, który jest dostępny dla urzędu poświadczeń odbioru i przedłożenia,
- datę i czas wytworzenia poświadczenia przedłożenia potwierdzone kwalifikowanym znacznikiem czasu synchronizowanym z sygnałem urzędowego i uniwersalnego czasu koordynowanego UTC(PL).
Poświadczenie przedłożenia jest odsyłane do nadawcy dokumentu i/lub do odbiorcy dokumentu.
Profil karty bezpieczny
Profil karty tworzony zgodnie z zaleceniami specyfikacji technicznej PKCS #15 (Cryptographic Token Information Syntax Standard). Profil ten charakteryzuje się podwyższonym – w stosunku do profilu RSA karty – poziomem ochrony danych na karcie (przede wszystkim kluczy prywatnych – danych służących do składania podpisu elektronicznego) i jest wykorzystywany podczas składania bezpiecznego podpisu elektronicznego. Obsługa tego profilu jest realizowaną za pomocą modułów programowych dostarczanych wraz z elektronicznymi kartami identyfikacyjnymi przez producentów bezpiecznych urządzeń do składania podpisów elektronicznych.
Profil karty bezpieczny zapewnia możliwość utworzenia bezpiecznej ścieżki i bezpiecznego kanału. Z tego powodu może być stosowany zarówno w publicznym (np. banki, urzędy administracji publicznej), jak również w niepublicznym środowisku do składania podpisu elektronicznego (np. w domu lub biurze).
Profil karty zwykły
Profil karty zdefiniowany w specyfikacji technicznej PKCS #15 (Cryptographic Token Information Syntax Standard), opracowanej przez firmę RSA Laboratories, nazywany także profilem RSA karty. Profil ten służy do elektronicznej identyfikacji posiadacza karty i jest powszechnie stosowany do ochrony usług internetowych oraz poczty elektronicznej. Nie powinien być używany do składania bezpiecznego podpisu elektronicznego. Obsługa tego profilu jest realizowana za pomocą modułów programowych dostarczanych wraz z elektronicznym kartami identyfikacyjnymi.
Profil RSA karty nie zapewnia możliwości utworzenia bezpiecznej ścieżki i bezpiecznego kanału. Z tego powodu jest używany jedynie w niepublicznym środowisku do składania zwykłego (niekwalifikowanego) podpisu elektronicznego.
Profil zaufany (PZ)
Profil zaufany to konto przydzielane osobom posiadającym osobowość prawną w ramach ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne. Posiadacze PZ mogą wygenerować tzw. podpis elektroniczny do podpisywania podań i wniosków składanych do podmiotów publicznych. Przepisy regulujące to rozporządzenie Ministra Cyfryzacji z dnia 29 czerwca 2020 r. w sprawie profilu zaufanego i podpisu zaufanego
PSD2
PSD2 (ang. Payment Services Directive 2) to dyrektywa o usługach płatniczych, która obowiązuje w Europejskim Obszarze Gospodarczym tj. na terytorium Unii Europejskiej, Islandii, Norwegii i Lichtensteinu.
Głównymi założeniami dyrektywy PSD2 jest zwiększenie bezpieczeństwa konsumentów i lepsze chronienie ich przed nadużyciami finansowymi w obrocie bezgotówkowym. Ma także zwiększyć szybkość realizacji płatności bezgotówkowych. Cele to:
- sprawniejszy i bezpieczniejszy system płatności w całej Unii Europejskiej
- rozwój nowych technologii usług płatniczych
- większa konkurencja na rynku finansowym – poprzez otwarcie się na zewnętrznych dostawców usług
Do tej unijnej dyrektywy musiały dostosować się wszystkie kraje Wspólnoty. Zrobiła to także Polska poprzez nowelizację ustawy o usługach płatniczych, która weszła w życie 20 czerwca 2018 roku. Zapisano w niej, że banki i inne instytucje finansowe mają czas na wdrożenie przepisów właśnie do 14 września 2019 roku.
Jakie zmiany wprowadza PSD2?
Procedura silnego uwierzytelnienia
Najbardziej odczuwalną zmianą dla konsumentów, jaka zachodzi przez PSD2, jest wprowadzenie procedury silnego uwierzytelnienia. Oznacza to, że od 14 września tożsamość konsumenta korzystającego z elektronicznych usług płatniczych, musi zostać podwójnie zweryfikowana.
Kiedy podwójna weryfikacja?
W dyrektywie jasno zapisano, że procedura silnego uwierzytelnienia musi być przeprowadzana, gdy płatnik:
- uzyskuje dostęp do swojego rachunku płatniczego w trybie online,
- inicjuje elektroniczną transakcję płatniczą,
- przeprowadza czynność za pomocą kanału zdalnego, która może wiązać się z ryzykiem oszustwa płatniczego lub innych nadużyć.
Zasady podwójnej weryfikacji
Uwierzytelnianie musi odbywać się w oparciu o co najmniej dwa elementy, do których należą:
- wiedza (coś, co wie wyłącznie użytkownik),
- posiadanie (coś, co posiada wyłącznie użytkownik),
- cechy klienta (coś, czym jest użytkownik).
Muszą być one od siebie niezależne. Oznacza to, że naruszenie jednego z nich nie osłabia wiarygodności pozostałych. Każdy bank wprowadził własne sposoby weryfikacji klientów podczas logowania.
PUK (ang. Personal Unlocking Key)
W przypadku technologii PKI, jest to kod służący do odblokowania komponentu technicznego (najczęściej karty kryptograficznej) oraz zmiany kodu PIN. Numer PUK jest przydzielany do konkretnego komponentu technicznego wraz z momentem jej wydania użytkownikowi.
Punkt rejestracji
Placówka Centrów Certyfikacji, w której klient jest kompleksowo obsługiwany w zakresie świadczenia usług certyfikacyjnych. Główne zadania to:
- udzielanie informacji o możliwości zastosowania podpisu elektronicznego do użytku osobistego lub komercyjnego, o warunkach jego używania, skutkach, które wywołuje oraz o sposobie zakupu certyfikatu,
- prezentowanie autorskich programów do podpisywania i weryfikacji podpisu (na życzenie klienta),
- przyjmowanie dokumentów subskrybenta służących do potwierdzenia jego tożsamości, sprawdzenie autentyczności, sporządzenie z nich kopii oraz potwierdzenie zgodności z oryginałem,
- wypełnianie wniosków o wydanie certyfikatu kwalifikowanego (wypełnia operator, po czym wniosek jest drukowany i podpisywany przez wnioskodawcę i operatora),
- wydrukowanie i podpisanie umowy w wymaganej liczbie egzemplarzy,
- wydanie certyfikatów na podstawie wniosków o certyfikaty kwalifikowane,
- prowadzenie sprzedaży certyfikatów na karcie oraz zestawów do składania bezpiecznego podpisu.
Punkt zaufania
Zaświadczenie certyfikacyjne tego podmiotu świadczącego usługi certyfikacyjne, któremu ufa subskrybent i/lub strona ufająca (np. podmiot weryfikujący podpis lub poświadczenie elektroniczne). Zaświadczenie tego podmiotu jest pierwszym certyfikatem w każdej ścieżce certyfikacji, zbudowanej przez subskrybenta lub stronę ufająca. Wybór punktu zaufania jest zwykle narzucany przez politykę certyfikacji, według której funkcjonuje podmiot świadczący usługi certyfikacyjne. Zwykle rolę taką pełni główny urząd certyfikacji. W przypadku polityk certyfikacji według których w Polsce wydawane są certyfikaty kwalifikowane, punktem zaufania jest zaświadczenie certyfikacyjne Narodowego Centrum Certyfikacji (NCCert).
R
Regulamin Usług Certyfikacyjnych
Dokument regulujący podstawowe prawa i obowiązki stron umowy o świadczenie kwalifikowanych usług certyfikacyjnych. Dokument ten jest integralną częścią umowy dla certyfikatu kwalifikowanego.
Rejestr
Uporządkowany w oparciu o jedno kryterium spis lub wykaz czegoś, np.: rejestr przedsiębiorstw państwowych, rejestr spraw (ogólnie nazywanych rejestrami obiektami danych). Pod tym pojęciem należy rozumieć wykaz, listę, spis lub inną formę ewidencji obiektów danych, służących do realizacji zadań wykonywanych przez administrację państwową, sądy, banki lub firmy prowadzące działalność gospodarczą. Rejestr zawiera wpisy związane z opisem zarejestrowanego obiektu (zarejestrowane obiekty mogą być dowolnymi elementami, które ich autor lub twórca chce udostępnić innym w taki sposób, aby mógł być łatwo odnaleziony i zastosowany przez klienta lub użytkownika). Wpisy w rejestrze mogą podlegać kontroli dostępu.
Rejestr kwalifikowanych podmiotów świadczących usługi certyfikacyjne
Lista podmiotów świadczących usługi certyfikacyjne, prowadzona przez ministra właściwego ds. podpisu elektronicznego (w Polsce – Minister Gospodarki) na mocy Ustawy o podpisie elektronicznym. Instytucją realizującą ww. rejestr jest Narodowe Centrum Certyfikacji. Obecnie na liście tej znajdują się m.in. następujące podmioty:
- Krajowa Izba Rozliczeniowa S.A. (www.kir.pl),
- Polska Wytwórnia Papierów Wartościowych S.A. (www.sigillum.pl),
- Asseco Data System (www.certum.pl).
Repozytorium obiektów danych
Rozwiązanie informatyczne przeznaczone do składowania i obsługi obiektów danych. Dostęp do obiektów zarejestrowanych w repozytorium obiektów danych odbywa się za pomocą referencji do tych obiektów, zapisanych w rejestrze. Repozytorium zapewnia kontrolowany dostęp do przechowywanych w nim obiektów danych, monitorowanie ich wersji, katalogowania, wyszukiwania oraz aktualizowania.
Repozytorium urzędu certyfikacji
Dostępne w trybie on-line bazy danych zawierające wydane certyfikaty, dokumenty związane z funkcjonowaniem Centrum Certyfikacji, listy certyfikatów unieważnionych, politykę certyfikacji, listy punktów rejestracji.
S
Sekret
Niepowtarzalna, tajna informacja przekazywana użytkownikowi certyfikatu. Służy do identyfikacji użytkownika przy żądaniu unieważnienia certyfikatu.
Sponsor subskrybenta (płatnik)
Patrz: “Zamawiający”.
Sprzętowy moduł kryptograficzny
Patrz: “Moduł kryptograficzny”.
SSC – self-signed certificate
Certyfikat samo-podpisany, to znaczy samodzielnie wytworzony przez użytkownika, zawierający podane przez niego dane. Algorytm kluczy RSA i szyfrowania SSL są kodami otwartymi – dzięki temu każdy może sprawdzić ich działanie, ale także wykorzystać je do stworzenia własnego certyfikatu z pominięciem centrów autoryzacyjnych. Nie istnieje jednak instytucja, która gwarantuje rzetelność tak wystawionego certyfikatu, wobec czego nie jest on uznawany za zaufany.
Subskrybent
Jednostka (osoba fizyczna, osoba prawna, jednostka organizacyjna nieposiadająca osobowości prawnej, urządzenie, które jest pod opieką tych osób lub jednostki organizacyjnej), która jest podmiotem wymienionym lub zidentyfikowanym w certyfikacie wydanym tej jednostce, posiada klucz prywatny, który odpowiada kluczowi publicznemu zawartemu w certyfikacie oraz sama nie wydaje certyfikatów innym stronom.
Ś
Ślad cyfrowy
Śladem cyfrowym określamy zespół cech kodu, który można wyodrębnić z badanych materiałów celem określenia źródła ich pochodzenia. Do śladów cyfrowych mogą należeć fragmenty charakterystyczne kodu, stylistyka kodu, wbudowane ciągi znakowe itp.
T
Token
Dane zawierające informacje, które zostały przekształcone z wykorzystaniem techniki kryptograficznej (PN I-2000)
Tożsamość
Element danych przypisany podmiotowi i wykorzystywany do jego identyfikowania
U
Unieważnienie certyfikatu (ang. certificate revocation)
Czasem zachodzi potrzeba unieważnienia certyfikatu (np. pracownik został zwolniony przed upływem terminu ważności certyfikatu lub przy zmianie nazwiska). W takich przypadkach CA unieważnia certyfikat i umieszcza jego numer seryjny na ogólnodostępnej liście CRL – liście unieważnionych certyfikatów (ang. Certificate Revocation Lists – CRLs). Certyfikat może zostać unieważniony zawsze wtedy, gdy:
- jakakolwiek informacja zawarta w certyfikacie zdezaktualizuje się,
- nastąpił nieuprawniony dostęp lub istnieje uzasadnione podejrzenie nieuprawnionego dostępu do klucza prywatnego, lub nośnika na którym jest przechowywany,
- nastąpiło zagubienie lub istnieje uzasadnione podejrzenie zagubienia klucza prywatnego, lub nośnika na którym jest przechowywany,
- nastąpiła kradzież lub uzasadnione podejrzenie kradzieży klucza prywatnego, lub nośnika na którym jest przechowywany,
- nastąpiło zniszczenie klucza prywatnego, lub nośnika na którym jest przechowywany,
- subskrybent rezygnuje z umowy zawartej z Centrum Certyfikacji,
- na każde żądanie subskrybenta.
Urząd atrybutów (ACA)
Podmiot, który świadczy usługę wystawiania certyfikatów atrybutów.
Urząd certyfikacji (ang. certification authority)
Patrz: “Centrum Certyfikacji”.
Urząd depozytów obiektów
Podmiot, który świadczy usługę poświadczeń depozytowych.
Urząd poświadczania odbioru i przedłożenia
Podmiot, który świadczy usługę wystawiania poświadczeń odbioru i przedłożenia.
Urząd rejestrów i repozytoriów
Podmiot, który świadczy usługę wystawiania poświadczeń rejestrowych i repozytoryjnych.
Urząd walidacji danych, Urząd walidacji (ang. Validation Authority – VA)
Podmiot, który świadczy usługę walidacji danych.
Patrz też: “Narodowy Urząd Walidacji”
Urząd weryfikacji statusu certyfikatu
Podmiot, który świadczy usługę weryfikacji statusu certyfikatu.
Urząd znacznika czasu (TSA, ang Time Stamping Authority)
Podmiot świadczący usługę znakowania czasem.
Urządzenie służące do składania podpisu elektronicznego
W myśl Ustawy o podpisie elektronicznym, jest to sprzęt i oprogramowanie skonfigurowane w sposób umożliwiający złożenie podpisu lub poświadczenia elektronicznego przy wykorzystaniu danych służących do składania podpisu lub poświadczenia elektronicznego.
Urzędowe poświadczenie odbioru (UPO)
Poświadczenie odbioru dokumentu elektronicznego, którego:
- adresatem jest podmiot publiczny, wydawane zgodnie z Rozporządzeniem Prezesa Rady Ministrów z dnia 29 września 2005 r. w sprawie warunków organizacyjno-technicznych doręczania dokumentów elektronicznych podmiotom publicznym (Dz.U. 2005 nr 200 poz. 1651), lub
- nadawcą jest podmiot publiczny, wydane zgodnie z Rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 27 listopada 2006 r. w sprawie sporządzania i doręczania pism w formie dokumentów elektronicznych (Dz. U. 2006 nr 227 poz. 1664).
Urzędowe poświadczenie przedłożenia
Poświadczenie przedłożenia dokumentu elektronicznego, którego adresatem lub nadawcą jest podmiot publiczny, wystawione przez kwalifikowany urząd poświadczeń odbioru i przedłożenia z upoważnienia adresata dokumentu elektronicznego.
Usługa katalogowa
Usługa wyszukiwania i pobierania informacji z katalogu poprawnie określonych obiektów, które mogą zawierać informacje o certyfikatach, numerach telefonów, warunkach dostępu, adresach, itd.; przykładem jest usługa katalogowa zgodna z ITU-T Rec.X.500ISO/IEC 9594-1 (wg PN-ISO/IEC 15945)
Usługa podpisu elektronicznego
Usługa umożliwiająca złożenie podpisu elektronicznego za pośrednictwem udostępnionego interfejsu użytkownika lub interfejsu programowego. Usługa ta, poprzez stworzenie bezpiecznego środowiska do składania podpisu elektronicznego, może spełniać wymagania prawne, techniczne i organizacyjne określone dla podpisów bezpiecznych.
Usługa walidacji danych
Usługa związana z podpisem elektronicznym polegająca na poświadczaniu ważności podpisanych dokumentów, certyfikatów oraz posiadania lub istnienia danych (w szczególności dokumentów).
Usługa weryfikacji statusu certyfikatu
Usługa polegająca na poświadczaniu wiarygodności certyfikatu lub zaświadczenia certyfikacyjnego, jak również udostępniająca dodatkowe informacje o atrybutach tego certyfikatu lub zaświadczenia certyfikacyjnego.
Usługa wystawiania certyfikatów atrybutów
Usługa związana z podpisem elektronicznym polegające na wydaniu, udostępnianiu i unieważnianiu certyfikatów atrybutów. Usługi te świadczone są w oparciu o sieć punktów rejestracji lub punktów potwierdzania tożsamości i atrybutów.
Usługa wystawiania poświadczeń depozytowych
Usługa związana z podpisem elektronicznym, która pozwala użytkownikom na umieszczenie (zdeponowanie) dowolnego obiektu w depozycie, jego wielokrotne pobieranie oraz wydanie. Zdeponowane obiekty przechowywane są w sposób, który pozwala na ich pobranie lub wydanie w stanie, w jakim były w momencie ich deponowania. Uprawniony użytkownik usług wystawiania poświadczeń depozytowych może także przeglądać wpisy związane ze zdeponowanymi obiektami i na tej podstawie podejmować decyzje o pobraniu lub wydaniu obiektu z depozytu.
Usługa wystawiania poświadczeń odbioru i przedłożenia
Usługa związana z podpisem elektronicznym polegająca na wystawianiu poświadczeń odbioru lub przedłożenia (w tym także w urzędowych poświadczeń odbioru lub przedłożenia) dokumentów elektronicznych. Poświadczenia te dotyczą dokumentów przekazywanych przez klientów do podmiotów realizujących zadania publiczne lub odwrotnie – przez podmioty realizujące zadania publiczne do klientów.
Usługa wystawiania poświadczeń rejestrowych i repozytoryjnych
Usługa związana z podpisem elektronicznym pozwalająca użytkownikowi na umieszczenie w rejestrze tylko wpisu lub zarówno wpisu, jak również powiązanych z nim obiektów danych. Struktura wpisów i obiektów zależy od klasy rejestru i podlega weryfikacji przed każdym umieszczeniem w rejestrze i/lub w repozytorium. Wpisy i obiekty mogą być wielokrotnie pobierane, a także modyfikowane. Zarejestrowane wpisy i obiekty przechowywane są w sposób, który pozwala na ich pobranie w stanie, w jakim były w momencie ich rejestrowania. Uprawniony użytkownik usługi może także przeglądać wpisy i na tej podstawie podejmować decyzje o pobraniu wpisu i/lub obiektu odpowiednio z rejestru lub repozytorium.
Usługa znakowania czasem
Patrz: “Znakowanie czasem”
Usługi certyfikacyjne
Są to wszystkie usługi, które wspomagają zastosowanie podpisów elektronicznych w procesie nadawania dokumentowi elektronicznemu cechy niezaprzeczalności utworzenia (tzn. integralności dokumentu i autentyczności jego twórcy). Są one niezbędne w procesie składania lub weryfikacji podpisu elektronicznego, a także jego przechowywania, przetwarzania i przesyłania. Do grupy tych usług należą co najmniej:
- usługa podpisu elektronicznego,
- usługa walidacji danych,
- usługa weryfikacji statusu certyfikatu,
- usługa wydawania certyfikatów,
- usługa wydawania certyfikatów atrybutów,
- usługa wystawiania poświadczeń depozytowych,
- usługa wystawiania poświadczeń odbioru i przedłożenia,
- usługa wystawiania poświadczeń rejestrowych i repozytoryjnych,
- usługa znakowania czasem.
Usługi certyfikacyjne kwalifikowane
Usługi certyfikacyjne udostępniane przez kwalifikowany podmiot świadczący usługi certyfikacyjne.
Usługi certyfikacyjne kwalifikowane w Polsce
Usługi certyfikacyjne kwalifikowane wymienione w rejestrze prowadzonym przez ministra właściwego ds. podpisu elektronicznego (w Polsce – Minister Gospodarki). Są to:
- usługa wydawania kwalifikowanych certyfikatów,
- usługa wydawania kwalifikowanych certyfikatów atrybutów,
- usługa znakowania czasem,
- usługa weryfikacji statusu certyfikatów,
- usługa walidacji danych,
- usługa wystawiania poświadczeń depozytowych,
- usługa wystawiania poświadczeń odbioru i przedłożenia,
- usługa wystawiania poświadczeń rejestrowych i repozytoryjnych.
Usługi certyfikacyjne niekwalifikowane
Usługi certyfikacyjne udostępniane przez podmioty świadczące usługi certyfikacyjne, ale nie są wpisani do rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne.
Uwierzytelnienie
Mechanizm zabezpieczeń, którego zadaniem jest zapewnienie wiarygodności przesyłanych danych, wiadomości lub nadawcy, albo mechanizmy weryfikowania tożsamości osoby przed otrzymaniem przez nią określonych kategorii informacji.
W
Walidacja danych
Proces stosowany w celu rozstrzygnięcia tego, czy dane są poprawne, kompletne lub czy spełniają wskazane kryteria. Walidacja danych może obejmować kontrole formatu, kontrole kompletności, testy klucza kryptograficznego, kontrole sensowności oraz kontrole wartości granicznych (PN I-2000).
Walidacja podpisu elektronicznego
Patrz: “Weryfikacja podpisu elektronicznego”.
WebTrust
Światowy standard określający zbiór zasad i kryteriów (dobrych praktyk) w zakresie szeroko pojętego bezpieczeństwa informacji w Internecie, które dla dobra użytkowników powinny być stosowane przez dostawców usług świadczonych drogą elektroniczną. Kryteria standardu WebTrust zostały określone przez The American Institute of Certified Public Accountants oraz Canadian Institute of Chartered Accountants w 1995 roku i są nadal rozwijane.(zobacz – pieczęć WebTrust)
Weryfikacja podpisu elektronicznego
Walidacja danych, która ma na celu określenie przynajmniej, że:
- podpis elektroniczny został zrealizowany za pomocą klucza prywatnego odpowiadającego kluczowi publicznemu, zawartemu w podpisanym przez urząd certyfikacji certyfikacie subskrybenta,
- podpisana wiadomość (dokument) nie została zmodyfikowana już po złożeniu na niej podpisu, oraz
- format podpisu, certyfikatu i innych danych związanych z podpisem jest zgodny z odpowiednimi wymaganiami (np. z przepisami prawa).
Weryfikacja statusu certyfikatów
Walidacja danych, która umożliwia określenie czy certyfikat jest unieważniony. Problem ten może być rozwiązany przez zainteresowany podmiot w oparciu o listy CRL albo też przez wystawcę certyfikatu lub upoważnionego przez niego przedstawiciela na zapytanie podmiotu skierowane do serwera OCSP.
Wydanie wpisu lub obiektu danych
Uzyskanie oryginału wpisu lub obiektu z jego jednoczesnym usunięciem z depozytu; z rejestrów lub repozytorium nie powinno się nic usuwać, ale można edytować wpisy i obiekty z zachowaniem oczywiście historii zmian.
Wzajemne zaświadczenie certyfikacyjne (ang. cross-certificate)
Certyfikat klucza publicznego urzędu certyfikacji podpisany przez urząd certyfikacji należący do innej domeny. Pozwala weryfikować certyfikat wystawiony przez “obcy” urząd certyfikatem “mojego” urzędu. Niekiedy upraszcza to ścieżkę certyfikacji. Certyfikaty wzajemne umożliwiają też zaufane połączenia między sieciami, z których każda ma własny urząd certyfikacji. Wbrew nazwie certyfikaty te nie zawsze są wydawane wzajemnie (“na krzyż”).
X
X.509 v3
Jest to międzynarodowy standard opisujący Infrastrukturę Klucza Publicznego, w tym m.in. typy danych, jakie mogą zawierać certyfikaty.
Z
Zaawansowany podpis elektroniczny
W myśl Dyrektywy Unii Europejskiej 1999/93/EC, oznacza podpis elektroniczny, który spełnia następujące wymagania:
- jest jednoznacznie powiązany z osobą składającą podpis elektroniczny,
- pozwala na identyfikację osoby składającej podpis elektroniczny,
- jest tworzony z wykorzystaniem zasobów, które osoba składająca podpis elektroniczny może utrzymywać pod swoją wyłączną kontrolą,
- jest powiązany z danymi, do których się odnosi w taki sposób, że każda jakakolwiek późniejsza zmiana tych danych jest rozpoznawalna.
Zaawansowany podpis elektroniczny jest równoważny bezpiecznemu podpisowi elektronicznemu, w przypadku gdy został on złożony za pomocą bezpiecznego urządzenia do składania podpisu elektronicznego (w myśl polskiej Ustawy o podpisie elektronicznym). Zaawansowany podpis elektroniczny może być weryfikowany za pomocą certyfikatu niekwalifikowanego lub certyfikatu kwalifikowanego. W tym ostatnim przypadku zaawansowany podpis elektroniczny nazywany jest często kwalifikowanym podpisem elektronicznym.
Zamawiający
Podmiot finansujący usługi certyfikacyjne na rzecz swojego przedstawiciela − użytkownika certyfikatu. Sponsor jest właścicielem certyfikatu i przysługuje mu prawo do jego unieważnienia.
Zarządzanie certyfikatami
Przechowywanie, rozpowszechnianie, publikowanie, unieważnianie oraz zawieszanie certyfikatów. Funkcje te wykonywane są zarówno przez organ wydający certyfikaty, jak i subskrybenta, od momentu zarejestrowania subskrybenta i wydania mu certyfikatu. Rozpowszechnianie i publikowanie certyfikatów reguluje polityka certyfikacji.
Zaświadczenie certyfikacyjne
Elektroniczne zaświadczenie za pomocą którego dane służące do weryfikacji poświadczenia elektronicznego są przyporządkowane do podmiotu świadczącego usługi certyfikacyjne lub organu, o którym mowa w art. 30 ust. 1 Ustawy o podpisie elektronicznym, i które umożliwiają identyfikację tego podmiotu lub organu.
Zaufana Trzecia Strona (TTP Trusted Third Party)
Instytucja lub jej przedstawiciel mający zaufanie podmiotu uwierzytelnionego i/lub podmiotu weryfikującego oraz innych podmiotów w zakresie działań związanych z zabezpieczeniem oraz z uwierzytelnianiem.
Zawieszenie certyfikatu (ang. suspension)
Szczególna forma unieważnienia certyfikatu (i związanej z nim pary kluczy), której wynikiem jest czasowy brak akceptacji certyfikatu w operacjach kryptograficznych (niezależnie od statusu tej operacji); zawieszony certyfikat umieszczany jest na liście certyfikatów unieważnionych (CRL).
Znakowanie czasem
W myśl Ustawy o podpisie elektronicznym, jest to usługa polegająca na dołączaniu do danych w postaci elektronicznej, logicznie powiązanych z danymi opatrzonymi podpisem lub poświadczeniem elektronicznym, oznaczenia czasu w chwili wykonania tej usługi oraz poświadczenia elektronicznego tak powstałych danych przez podmiot świadczący tę usługę.
Znakowanie czasem można porównać do “elektronicznego datownika”, dzięki któremu możliwe jest datowanie dowolnych danych w postaci elektronicznej (np. dokumentów elektronicznych) oraz czynności realizowanych w środowisku elektronicznym w tym m.in. momentu złożenia podpisu elektronicznego. Znakowanie czasem przez kwalifikowany podmiot świadczący usługi certyfikacyjne wywołuje w szczególności skutki daty pewnej w rozumieniu przepisów Kodeksu Cywilnego.